Que sont les attributs de sécurité personnalisés dans Azure AD ? (Préversion)

Important

Les attributs de sécurité personnalisés sont actuellement en PRÉVERSION. Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.

Dans Azure Active Directory (Azure AD), les attributs de sécurité personnalisés sont des attributs spécifiques à l’entreprise (paires clé-valeur) que vous pouvez définir et attribuer à des objets Azure AD. Ces attributs peuvent être utilisés pour stocker des informations, classer des objets ou appliquer un contrôle d’accès affiné sur des ressources Azure spécifiques. Les attributs de sécurité personnalisés peuvent être utilisés avec le contrôle d’accès en fonction des attributs Azure (Azure ABAC).

Pourquoi utiliser des attributs de sécurité personnalisés ?

  • Étendre des profils utilisateur, par exemple en ajoutant la date d’embauche de l’employé et le salaire horaire pour tous mes employés.
  • Garantir que seuls les administrateurs peuvent voir l’attribut de salaire horaire dans les profils de mes employés.
  • Classer des centaines ou des milliers d’applications pour créer facilement un inventaire filtrable à des fins d’audit.
  • Accorder aux utilisateurs l’accès aux objets blob du Stockage Azure appartenant à un projet.

Que puis-je faire avec les attributs de sécurité personnalisés ?

  • Définir des informations spécifiques à l’entreprise (attributs) pour votre locataire.
  • Ajouter un jeu d’attributs de sécurité personnalisés sur des utilisateurs, des applications, des ressources Azure AD ou des ressources Azure.
  • Gérer les objets Azure AD à l’aide d’attributs de sécurité personnalisés avec des requêtes et des filtres.
  • Fournir la gouvernance des attributs afin que les attributs déterminent qui peut obtenir l’accès.

Fonctionnalités des attributs de sécurité personnalisés

  • Disponible à l’échelle du locataire
  • Inclure une description
  • Prendre en charge différents types de données : booléen, entier, chaîne
  • Prendre en charge une valeur unique ou plusieurs valeurs
  • Prendre en charge les valeurs de forme libre définies par l’utilisateur ou les valeurs prédéfinies
  • Attribuer des attributs de sécurité personnalisés à des utilisateurs synchronisés d’annuaire d’une instance Active Directory locale

L’exemple suivant montre comment vous pouvez spécifier des valeurs d’attribut de sécurité personnalisé qui sont uniques, multiples, de forme libre ou prédéfinies.

Custom security attribute examples assigned to a user.

Objets qui prennent en charge les attributs de sécurité personnalisés

Actuellement, vous pouvez ajouter des attributs de sécurité personnalisés pour les objets Azure AD suivants :

  • Utilisateurs Azure AD
  • Applications d’entreprise Azure AD (principaux de service)
  • Identités managées pour les ressources Azure

Quelles sont les différences entre les attributs de sécurité personnalisés et les extensions de schéma d’annuaire ?

Voici quelques méthodes permettant de comparer les attributs de sécurité personnalisés et les extensions de schéma d’annuaire :

  • Les extensions de schéma d’annuaire ne peuvent pas être utilisées pour les scénarios d’autorisation et les attributs, car le contrôle d’accès des attributs d’extension est lié à l’objet Azure AD. Les attributs de sécurité personnalisés peuvent être utilisés pour l’autorisation et les attributs nécessitant un contrôle d’accès, car ils peuvent être gérés et protégés par le biais d’autorisations distinctes.
  • Les extensions de schéma d’annuaire sont liées à une application et partagent le cycle de vie d’une application. Les attributs de sécurité personnalisés sont à l’échelle du locataire et ne sont pas liés à une application.
  • Les extensions de schéma d’annuaire prennent en charge l’attribution d’une valeur unique à un attribut. Les attributs de sécurité personnalisés prennent en charge l’attribution de plusieurs valeurs à un attribut.

Étapes à suivre pour utiliser des attributs de sécurité personnalisés

  1. Vérifiez les autorisations

    Vérifiez que les rôles Administrateur d’attribution d’attribut ou Administrateur de définition d’attribut vous sont attribués. Si ce n’est pas le cas, contactez votre administrateur pour qu’il vous attribue le rôle approprié au niveau de l’étendue du locataire ou au niveau du jeu d’attributs. Par défaut, le rôle Administrateur général et d’autres rôles d’administrateur ne sont pas autorisés à lire, à définir ou à attribuer des attributs de sécurité personnalisés. Si nécessaire, un administrateur général peut s’attribuer lui-même ces rôles.

    Diagram showing checking permissions to add custom security attributes in Azure AD.

  2. Ajouter des jeux d’attributs

    Ajoutez des jeux d’attributs pour regrouper et gérer des attributs de sécurité personnalisés associés. En savoir plus

    Diagram showing adding multiple attribute sets.

  3. Gérer les jeux d’attributs

    Indiquez qui peut lire, définir ou attribuer des attributs de sécurité personnalisés dans un jeu d’attributs. En savoir plus

    Diagram showing assigning attribute definition administrators and attribute assignment administrators to attribute sets.

  4. Définir des attributs

    Ajoutez vos attributs de sécurité personnalisés à votre annuaire. Vous pouvez spécifier le type de la date (booléen, entier ou chaîne) et si les valeurs sont prédéfinies, de forme libre, uniques ou multiples. En savoir plus

    Diagram showing delegated administrators defining custom security attributes.

  5. Attribuer des attributs

    Attribuez des attributs de sécurité personnalisés à des objets Azure AD pour vos scénarios métier. En savoir plus

    Diagram showing delegated administrators assigning custom security attributes to Azure AD objects.

  6. Utiliser des attributs

    Filtrez les utilisateurs et les applications qui utilisent des attributs de sécurité personnalisés. En savoir plus

    Ajoutez des conditions qui utilisent des attributs de sécurité personnalisés à des attributions de rôles Azure pour un contrôle d’accès affiné. En savoir plus

Terminologie

Pour mieux comprendre les attributs de sécurité personnalisés, vous pouvez vous reporter à la liste de termes suivante.

Terme Définition
définition d’attribut Schéma d’un attribut de sécurité personnalisé ou d’une paire clé-valeur. Par exemple, le nom, la description, le type de données et les valeurs prédéfinies de l’attribut de sécurité personnalisé.
jeu d’attributs Collection d’attributs de sécurité personnalisés associés. Les jeux d’attributs peuvent être délégués à d’autres utilisateurs pour la définition et l’attribution d’attributs de sécurité personnalisés.
nom d’attribut Nom unique d’un attribut de sécurité personnalisé au sein d’un jeu d’attributs. La combinaison d’un jeu d’attributs et d’un nom d’attribut forme un attribut unique pour votre locataire.
attribution d’attribut Attribution d’un attribut de sécurité personnalisé à un objet Azure AD, tel que des utilisateurs, des applications d’entreprise (principaux de service) et des identités managées.
valeur prédéfinie Valeur autorisée pour un attribut de sécurité personnalisé.

Propriétés des attributs de sécurité personnalisés

Le tableau suivant répertorie les propriétés que vous pouvez spécifier pour les jeux d’attributs et les attributs de sécurité personnalisés. Certaines propriétés sont immuables et ne sont pas modifiables par la suite.

Propriété Obligatoire Modifiable par la suite Description
Nom du jeu d’attributs ✔️ Nom du jeu d’attributs. Doit être unique dans un locataire. Ne peut pas contenir d’espaces ou de caractères spéciaux.
Description du jeu d’attributs ✔️ Description du jeu d’attributs.
Nombre maximal d’attributs ✔️ Nombre maximal d’attributs de sécurité personnalisés qui peuvent être définis dans un jeu d’attributs. La valeur par défaut est null. Si cette valeur n’est pas spécifiée, l’administrateur peut ajouter jusqu’à 500 attributs actifs par locataire.
Jeu d’attributs ✔️ Collection d’attributs de sécurité personnalisés associés. Chaque attribut de sécurité personnalisé doit faire partie d’un jeu d’attributs.
Nom de l’attribut ✔️ Nom de l’attribut de sécurité personnalisé. Doit être unique dans un jeu d’attributs. Ne peut pas contenir d’espaces ou de caractères spéciaux.
Description de l’attribut ✔️ Description de l’attribut de sécurité personnalisé.
Type de données ✔️ Type de données pour les valeurs des attributs de sécurité personnalisés. Les types pris en charge sont Boolean, Integer et String.
Autoriser l’attribution de plusieurs valeurs ✔️ Indique si plusieurs valeurs peuvent être attribuées à l’attribut de sécurité personnalisé. Si le type de données est défini sur Boolean, ne peut pas être défini sur Oui.
Autoriser uniquement l’attribution de valeurs prédéfinies ✔️ Indique si seules des valeurs prédéfinies peuvent être attribuées à l’attribut de sécurité personnalisé. Si la valeur est définie sur Non, les valeurs de forme libre sont autorisées. Peut par la suite passer de Oui à Non, mais ne peut pas passer de Non à Oui. Si le type de données est défini sur Boolean, ne peut pas être défini sur Oui.
Valeurs prédéfinies Valeurs prédéfinies pour l’attribut de sécurité personnalisé pour le type de données sélectionné. Des valeurs prédéfinies supplémentaires peuvent être ajoutées ultérieurement. Les valeurs peuvent inclure des espaces, mais certains caractères spéciaux ne sont pas autorisés.
La valeur prédéfinie est active ✔️ Spécifie si la valeur prédéfinie est active ou désactivée. Si la valeur est définie sur false, la valeur prédéfinie ne peut pas être attribuée à des objets d’annuaire pris en charge supplémentaires.
L’attribut est actif ✔️ Spécifie si l’attribut de sécurité personnalisé est actif ou désactivé.

Limites et contraintes

Voici certaines des limites et contraintes pour les attributs de sécurité personnalisés.

Ressource Limite Notes
Définitions d’attribut par locataire 500 S’applique uniquement aux attributs actifs dans le locataire
Jeux d’attributs par locataire 500
Longueur du nom du jeu d’attributs 32 Caractères Unicode et non-respect de la casse
Longueur de la description du jeu d’attributs 128 Caractères Unicode
Longueur du nom de l’attribut 32 Caractères Unicode et non-respect de la casse
Longueur de la description de l’attribut 128 Caractères Unicode
Valeurs prédéfinies Caractères Unicode et respect de la casse
Valeurs prédéfinies par définition d’attribut 100
Longueur de la valeur de l’attribut 64 Caractères Unicode
Valeurs d’attribut attribuées par objet 50 Les valeurs peuvent être distribuées entre des attributs à valeur unique et à valeurs multiples.
Exemple : 5 attributs avec 10 valeurs chacun ou 50 attributs avec 1 valeur chacun
Caractères spéciaux non autorisés pour :
Nom du jeu d’attributs
Nom de l’attribut
<space> ` ~ ! @ # $ % ^ & * ( ) _ - + = { [ } ] \| \ : ; " ' < , > . ? / Le nom du jeu d’attributs et le nom de l’attribut ne peuvent pas commencer par un nombre
Caractères spéciaux autorisés pour les valeurs d’attribut Tous les caractères spéciaux
Caractères spéciaux autorisés pour les valeurs d’attribut lorsqu’ils sont utilisés avec des balises d’index d’objet blob <space> + - . : = _ / Si vous envisagez d’utiliser des valeurs d’attribut avec des balises d’index d’objet blob, il s’agit des seuls caractères spéciaux autorisés pour les balises d’index d’objet blob. Pour plus d’informations, consultez Définition des balises d’index d’objet blob.

Rôles d’attribut de sécurité personnalisé

Azure AD fournit des rôles intégrés permettant d’utiliser des attributs de sécurité personnalisés. Le rôle Administrateur de définition d’attribut est le rôle minimal dont vous avez besoin pour gérer les attributs de sécurité personnalisés. Le rôle Administrateur d’attribution d’attribut est le rôle minimal dont vous avez besoin pour attribuer des valeurs d’attribut de sécurité personnalisé pour des objets Azure AD tels que des utilisateurs et des applications. Vous pouvez attribuer ces rôles au niveau de l’étendue du locataire ou au niveau de l’étendue du jeu d’attributs.

Role Autorisations
Lecteur de définition d’attribut Lire des jeux d’attributs
Lire des définitions d’attribut de sécurité personnalisé
Administrateur de définition d’attribut Gérer tous les aspects des jeux d’attributs
Gérer tous les aspects des définitions d’attributs de sécurité personnalisés
Lecteur d’attribution d’attribut Lire des jeux d’attributs
Lire des définitions d’attribut de sécurité personnalisé
Lire les clés et valeurs d’attribut de sécurité personnalisé pour les utilisateurs et les principaux de service
Administrateur d’attribution d’attribut Lire des jeux d’attributs
Lire des définitions d’attribut de sécurité personnalisé
Lire et mettre à jour les clés et valeurs d’attribut de sécurité personnalisé pour les utilisateurs et les principaux de service

Important

Par défaut, le rôle Administrateur général et d’autres rôles d’administrateur ne sont pas autorisés à lire, à définir ou à attribuer des attributs de sécurité personnalisés.

Explorateur graphique

Si vous utilisez l’API Microsoft Graph, vous pouvez utiliser Graph Explorer pour essayer plus facilement les API Microsoft Graph pour les attributs de sécurité personnalisés. Pour plus d’informations, consultez Présentation des attributs de sécurité personnalisés à l’aide de l’API Microsoft Graph.

Screenshot that shows a Microsoft Graph API call for custom security attributes.

Problèmes connus

Voici quelques-uns des problèmes connus avec les attributs de sécurité personnalisés :

  • Les administrateurs généraux peuvent lire les journaux d’audit pour les définitions et les attributions d’attributs de sécurité personnalisés.
  • Si vous disposez d’une licence Azure AD Premium P2, vous ne pouvez pas ajouter d’attributions de rôles éligibles au niveau de l’étendue du jeu d’attributs.
  • Si vous disposez d’une licence Azure AD Premium P2, la page Rôles attribués d’un utilisateur ne répertorie pas les attributions de rôles permanentes au niveau de l’étendue du jeu d’attributs. Les attributions de rôles existent, mais ne sont pas répertoriées.

Selon que vous disposez d’une licence Azure AD Premium P1 ou P2, voici les tâches d’attribution de rôle actuellement prises en charge pour les rôles d’attribut de sécurité personnalisé :

Tâche d’attribution de rôle Premium P1 Premium P2
Attributions de rôles permanentes ✔️ ✔️
Attributions de rôles éligibles n/a ✔️
Attributions de rôles permanentes au niveau de l’étendue du jeu d’attributs ✔️ ✔️
Attributions de rôles éligibles au niveau de l’étendue du jeu d’attributs n/a
La page Rôles attribués répertorie les attributions de rôles permanentes au niveau de l’étendue du jeu d’attributs ✔️ ⚠️
Les attributions de rôles existent, mais ne sont pas répertoriées

Conditions de licence :

L'utilisation de cette fonctionnalité nécessite une licence Azure AD Premium P1. Pour trouver la licence appropriée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale d’Azure AD.

Étapes suivantes